телевизори. Конзоли. Проектори и аксесоари. Технологии. Цифрова телевизия

Къде да намерите регистъра на събитията в Windows 8. Използване на регистъра на събитията в Windows. Инструкции - къде се намира Windows log?

Мисля, че всеки потребител, който работи с компютър, се е сблъсквал с проблеми и грешки. Време е да научите как да четете регистъра на събитията на Windows, който показва съобщения от приложенията и самата система: грешки, информационни съобщения, предупреждения. Това съдържа информация за събития, които системата счита за запис за администратора. Просто така, просто в случай, че сте пожарникар.

В нормално работеща система потребителят не знае пътя тук - просто няма нужда. Въпреки това, когато се появят грешки (лагове) в Windows, има много причини да погледнете тук, за щастие има какво да научите от тук.

Къде е регистърът на събитията?

Най-бързият начин да стигнете до него е да въведете в лентата за търсене след натискане на клавиша ПЕЧЕЛЯдумите "дневници на събития". И кликнете върху съответната връзка:

Или въведете Старт - команда eventvwr.msc. По подразбиране, Преглед на събитияще отвори раздели, включително резюме на административни събития, което изброява информацията по важност за администратора. Най-важният от тях Критичентип събитие. Разходете се из участъка Регистри на Windows, ключови директории ПриложенияИ Система.

Всичко, което се случва в системата, се записва в няколко документа. И най-вероятно там ще намерите няколко грешки. Това още нищо не означава. Ако системата е стабилна, тези грешки не са критични и никога няма да ви притесняват. Между другото, можете да погледнете по-отблизо - грешките се запазват за програми, които не са били на компютъра от дълго време.

Играта беше затворена с помощта на клавишите Alt + F4 - мама, очевидно, влезе в стаята.

Теоретично, на други програми също е казано да записват важни и не толкова важни събития в Журнала, но доколкото си спомням, те почти не го правят.

На читателя вече може да му се стори, че не е необходимо да се обръща внимание на списанието.

Дневникът ще помогне на внимателен и внимателен потребител в случаи на сериозни неизправности, например, когато системата се появи или неочаквано се рестартира. По този начин „мъртъв“ драйвер може лесно да бъде открит в дневника. Просто трябва да погледнете внимателно червените икони, които се появяват с надписа Критично нивои премахнете посочения драйвер или може би помислете за подмяна на устройството.

още нищо лошо не се е случило

и тук всичко вече е сериозно: компютърът е изключен

Търсим необходимите събития: процеси и регистрационни файлове с резултати

Например, след известно време на работа забелязахме, че мишката е заседнала, някои папки липсват и пътеките не работят: първият знак за поява на диска. За да работите с тях, трябва последователно да стартирате помощната програма за проверка на състоянието на диска chkdsk /f, който ще започне да работи след рестартиране, след което ще проверим целостта на файловата система на самия Windows sfc /сканиране. Така че можете да разгледате резултатите от работата на тези и други помощни програми в едно и също списание:

Тъй като една от тези помощни програми се стартира от системата само преди зареждане (за тома, който съдържа тази система), има смисъл да търсите резултати с помощта на флага Wininit(от Печеля Dows В негоиализация).

Как да се науча да чета регистъра на събитията на Windows?

Не е нужно обаче да гадаете. Microsoft има официална страница за поддръжка за системни съобщения. Ако се интересувате от конкретно събитие, можете да посетите уеб страницата:

Въпреки това, по мое мнение, услугата е много добра услуга, която ще ви помогне да прочетете регистъра на събитията в Windows

Той няма аналози в Русия, но за тези, които говорят английски и са просто любопитни, ще ви покажа как да го използвате. И така, за примера, взет по-горе, на страницата на услугата въведете кода на грешката и услугата, която я е причинила, в полетата:

Всичко, което остава, е да въведете нашите условия в търсенето, като щракнете върху бутона Търсене и резултатите ще се появят на страницата, обясняваща грешката. Формално те няма да са много по-подробни от обясненията, дадени от самия журнал, но ако превъртите надолу страницата с резултатите, тогава в описанието на английски ще видите връзка към своеобразен форум с готови решения за проблемът или причините, с които потребителите вече са се сблъскали, когато възникне грешката със същото име. Всичко е на английски. Трябваше да уча... И, честно казано, вашият смирен слуга рядко стига по-далеч от този сайт: нещо подобно вече се е случило някъде.

Както винаги, прегледът на регистъра на събитията не е панацея. Въпреки това, той може да спаси потребителя от безсмислени предположения, като спести много време за търсене на проблема.

Windows Event Log - как да го изчистя?

И така, справихме се с проблемите, системата е стабилна. Тогава нека се отървем от ненужните записи в Журнала: ако сте посетили Журнала, може да сте забелязали известна бъркотия по отношение на броя на записите в него.

Има няколко метода за почистване. Можете да направите това чрез Windows PowerShell:

Wevtutil el | Foreach-Object(Write-Host "Clearing $_"; wevtutil cl "$_")

Можете през конзолата:

За /f %x в ("wevtutil el") направете wevtutil cl "%x"

Ще ви предложа малък скрипт, който можете да поставите в текстов документ и да запазите с разширението .bat. Извиках моя Cleaning Logs (изпълнете крайния файл с администраторски права):

Ето го скрипта:

@echo off FOR /F "tokens=1,2*" %%V IN ("bcdedit") DO SET adminTest=%%V IF (%adminTest%)==(Достъп) goto noAdmin за /F "tokens=* " %%G в ("wevtutil.exe el") DO (call:do_clear "%%G") ехо. ехо goto theEnd:do_clear ехо изчистване %1 wevtutil.exe cl %1 goto:eof:noAdmin изход

Изчакайте, докато скриптът приключи, прозорецът на конзолата ще се затвори сам:

Здравейте на всички, темата е как се разглеждат регистрационните файлове на windows. Мисля, че всеки знае какво са регистрационни файлове, но ако изведнъж сте начинаещ, тогава регистрационните файлове са системни събития, възникващи в операционната система на Windows и Linux, които помагат да се проследи какво, къде и кога се е случило и кой го е направил. Всеки системен администратор трябва да може да чете регистрационни файлове на Windows.

Пример от реалния живот е ситуацията, когато диск се повреди на един от сървърите на IBM и за техническа поддръжка събрах сървърни регистрационни файлове, за да могат да диагностицират проблема. Услугата Event Viewer отговаря за събирането и записването на регистрационни файлове в Windows. Event Viewer е удобен инструмент за получаване на системни регистрационни файлове.

Как да отворите в Event Viewer

Можете да влезете в модула за преглед на събития много лесно, подходящ за всяка версия на Windows. Натиснете магическите бутони

Win+R и въведете eventvwr.msc

Ще се отвори прозорец на Windows Event Viewer, в който трябва да разгънете елемента Windows Logs. Нека прегледаме всяко от списанията.

Log Application съдържа записи, свързани с програми на вашия компютър. Дневникът се записва при стартиране на програмата, ако е стартирана с грешка, това също ще бъде отразено тук.

Необходим е одитен дневник, за да се разбере кой какво е направил и кога. Например, влезли или излезли, опитали се да получат достъп. Всички одити за успех или неуспех са написани тук.

Елементът за инсталиране записва регистрационни файлове на Windows за това какво е инсталирано и кога, например програми или актуализации.

Най-важното списание е системата. Тук са записани всички най-необходими и важни неща. Например, имахте син екран bsod и тези съобщения, които са записани тук, ще ви помогнат да определите причината за това.

Има и регистрационни файлове на Windows за по-специфични услуги, като DHCP или DNS. Event Viewer изрязва всичко :).

Да предположим, че имате повече от милион събития в дневника за сигурност, вероятно веднага ще зададете въпроса дали има филтриране, тъй като разглеждането на всички тях е мазохизъм. Това е предвидено в програмата за преглед на събития; регистрационните файлове на Windows могат да бъдат удобно филтрирани, оставяйки само това, което е необходимо. Вдясно в областта Действия има бутон Филтриране на текущия журнал.

Ще бъдете помолени да посочите нивото на събитието:

  • Критичен
  • Грешка
  • Внимание
  • Интелигентност
  • Подробности

Всичко зависи от задачата за търсене; ако търсите грешки, тогава няма смисъл от други видове съобщения. След това, за да стесните обхвата на вашето търсене за преглед на събития, можете да посочите желания източник и код на събитието.

И така, както можете да видите, анализирането на регистрационните файлове на Windows е много просто, търсим, намираме, решаваме. Бързото изчистване на регистрационните файлове на Windows също може да бъде полезно:

Преглед на регистрационните файлове на Windows PowerShell

Би било странно, ако PowerShell не можеше да направи това; за да покажете регистрационни файлове, отворете PowerShell и въведете следната команда

Get-EventLog -Logname "System"

В резултат на това ще получите списък със системни регистрационни файлове

Същото може да се направи и за други списания, например Applications

Get-EventLog -Logname "Приложение"

малък списък от съкращения

  • Код на събитието - EventID
  • Компютър - име на машина
  • Пореден номер на събитието - Данни, Индекс
  • Категория задачи - Категория
  • Код на категория - CategoryNumber
  • Ниво - EntryType
  • Съобщение за събитие - Съобщение
  • Източник - Източник
  • Дата на генериране на събитие - ReplacementString, InstanceID, TimeGenerated
  • Дата на запис на събитието - TimeWritten
  • Потребител - потребителско име
  • уебсайт
  • Подразделение - Контейнер

Например, за да се показват събития в командната обвивка само с колоните „Ниво“, „Дата на запис на събитие“, „Източник“, „Код на събитие“, „Категория“ и „Съобщение за събитие“ за дневника „Система“, изпълнете командата:

Get-EventLog –LogName ‘Система’ | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message

Ако трябва да покажете по-подробно, заменете Format-Table с Format-List

Get-EventLog –LogName ‘Система’ | Format-List EntryType, TimeWritten, Source, EventID, Category, Message

Както можете да видите, форматът вече е по-четлив.

Можете също така да филтрирате регистрационните файлове, например да покажете последните 20 съобщения

Get-EventLog – Име на вход „Система“ – Най-новите 20

Допълнителни продукти

Можете също така да автоматизирате събирането на събития с помощта на инструменти като:

  • Zabbix комплекс за наблюдение
  • Чрез изпращане на събития с помощта на Windows към сървъра за събиране
  • Чрез пакета за проверка на Netwrix
  • Ако имате SCOM, тогава той може да обобщава всички регистрационни файлове на платформата на Windows
  • Всякакви DLP системи

Така че дали ще изберете да използвате програмата за преглед на събития или PowerShell за преглед на събитията на Windows, зависи от вас. Материал на сайта

Дистанционен преглед на дневници

  • Първи метод

Неотдавна операционната система Windows Server 2019 представи компонента за отдалечено администриране на Windows Admin Center. Позволява ви да контролирате дистанционно компютър или сървър, вече говорих за това по-подробно. Тук искам да покажа, че като го инсталирате на вашата работна станция, можете да се свържете от браузър с други компютри и лесно да преглеждате техните журнали на събития, като по този начин изучавате регистрационни файлове на Windows. В моя пример ще има сървър SVT2019S01,Намираме го в списъка с налични и се свързваме (Нека ви напомня, че по този начин направихме отдалечена настройка на мрежата в Windows).

След това избирате раздела „Събития“, избирате желания дневник; в моя пример искам да видя всички дневници за системата. От моя гледна точка гледането на всичко тук е много по-удобно от гледането на събития. Предимството е, че можете да направите това от всеки телефон или таблет. В десния ъгъл има удобна форма за търсене

Ако трябва да филтрирате регистрационните файлове по-прецизно, можете да използвате бутона за филтриране.

Тук можете също да изберете нивото на събитието, например да оставите само критични и грешки, да зададете времевия диапазон, кода на събитието и източника.

Ето пример за филтриране по събитие 19.

Много е удобно да експортирате целия дневник във формат evxt, който след това може лесно да се отвори през дневника на събитията. И така, Windows Admin Center е мощен инструмент за преглед на регистрационни файлове.

  • Втори метод

Вторият начин за отдалечен преглед на регистрационните файлове на Windows е да използвате модула за управление на компютъра или същия „Преглед на събития“. За да прегледате регистрационните файлове на Windows на друг компютър или сървър, в модула щракнете с десния бутон върху горния елемент и изберете "" от контекстното меню.

Посочваме името на друг компютър, в моя пример ще бъде SVT2019S01

Ако всичко е наред и няма блокиране от защитната стена или антивирусната програма, ще бъдете отведени до отдалечено гледане на събития.Ако има блокиране, ще получите съобщение, че COM+ трафикът не преминава.

Също така искам да отбележа, че има цели системи за агрегиране на журнали, като Zabbix или SCOM, но това е различно ниво на задачи.

Операционната система Windows Vista внимателно и неуморно следи всичко, което се случва с нея. Абсолютно всички действия, които се наричат ​​„събития“, постоянно се записват и разпределят в различни категории. Програмата Event Viewer (която, ако се чудите, е инструмент на MMC) може да се разглежда като дневник, воден от стара и педантична възрастна дама на пейка на входа. Записва кой влиза и излиза от къщата, какви разговори се водят между жителите, кой с кого се е развел и се е сбил. С други думи, има пълна картина за това как живее къщата.

Подобна шпионска функция изпълнява програмата Event Viewer, която, за разлика от любопитството на старата жена, е предназначена да диагностицира и идентифицира проблеми в работата на операционната система, за които потребителят няма представа.

Всички събития, възникващи в системата, се записват в специални системни дневници. Event Viewer ви позволява да преглеждате съдържанието на тези регистрационни файлове, да ги архивирате и да ги изтривате. Как точно можете да използвате тази програма? Основната цел е да се идентифицират възникналите проблеми и причината за тяхното възникване. Ако устройството работи неизправно, твърдият диск е пълен, някоя програма постоянно замръзва или възникне друго неприятно събитие, информацията за случилото се ще бъде записана в съответния системен дневник. След това просто стартирайте Event Viewer и получете пълна и ясна информация от системния журнал.

Можете да стартирате Event Viewer по един от следните начини.

  • Изберете отбор Старт>Контролен панел, щракнете върху връзката Система и нейната поддръжка, след това на връзката Администрацияи накрая на линка Преглед на събития.
  • Вторият метод за нетърпеливите: въведете командата в командния ред eventvwr.

Спомнете си, че в допълнение към щракването върху бутона Започнете, можете да отворите прозореца на командния ред, като натиснете клавишната комбинация . Също така не забравяйте, че е необходим административен достъп, за да използвате всички възможности на инструмента за преглед на събития.

Във всеки случай ще се отвори прозорецът, показан по-долу.

  • Преглед на събития от множество системни регистрационни файлове.
  • Създайте филтри за събития като персонализирани изгледи.
  • Възможност за създаване на задача, която се изпълнява автоматично с конкретно събитие.

Нека разгледаме по-отблизо прозореца, показан по-горе. Прозорецът е разделен на три панела. На левия панел Преглед на събитияИма няколко папки, съдържащи персонализирани изгледи, истории и абонаменти. Централният панел съдържа няколко подменюта, като напр И Наскоро прегледани възли. И накрая, в десния панел ДействияМожете да изберете конкретни действия, като например създаване на персонализиран изглед или свързване с друг компютър.

Панел ви позволява бързо да идентифицирате всички важни събития, записани през последния час, ден или седмица. Всеки тип събитие може да бъде разширен, за да разкрие подробна информация за събитието. Панелът дава обща картина на случващото се в системата, а за получаване на конкретна информация трябва да отидете на конкретно събитие.

Тъй като Event Viewer се използва за преглед на системни регистрационни файлове, щракнете върху иконите на папката И Регистри на приложения и услугив левия панел, за да разширите списъка с налични списания. Нека го разгледаме по-подробно. В папка Представени са следните списания.

  • Приложение. Събитията в този журнал се генерират от приложения, включително инсталирани програми, които идват с Windows Vista и услуги на операционната система. Какви точно събития се записват в този дневник зависи от конкретната програма.
  • Безопасност. Този дневник изброява опитите за влизане на потребителите (успешни и неуспешни), както и действия, свързани с публични ресурси, като например действия за създаване, модифициране или изтриване на файлове или папки.
  • Настройки. Събитията в този дневник се създават при инсталиране на програми.
  • Система. Системните събития се генерират от самия Windows и от инсталирани компоненти като драйвери на устройства. Дневникът е полезен за идентифициране на драйвери, които не са успели да се заредят при стартиране на Windows.
  • Препратени събития. Този дневник съдържа събития, събрани от други компютри в мрежата.

В папка Регистри на приложения и услугиможете да намерите записи за отделни приложения и услуги. Докато другите регистрационни файлове предоставят общи записи, този регистрационен файл предоставя информация за работата на конкретни програми. Обърнете внимание на подпапката на Microsoft, която от своя страна съдържа подпапка на Windows. В тази папка можете да намерите записи за голямо разнообразие от компоненти на Windows Vista, представени в отделни папки.

В реда на Windows OS всички основни събития, които се случват в системата, се записват и след това се записват в дневника. Записват се грешки, предупреждения и просто различни известия. Въз основа на тези записи опитен потребител може да коригира работата на системата и да отстрани грешките. Нека научим как да отворим регистъра на събитията в Windows 7.

Регистърът на събитията се съхранява в системен инструмент, наречен "Преглед на събития". Нека видим как можете да стигнете до там с помощта на различни методи.

Метод 1: „Контролен панел“

Един от най-често срещаните начини за стартиране на инструмента, описан в тази статия, въпреки че далеч не е най-лесният и удобен, се прави с "Контролен панел".


Метод 2: Инструмент за изпълнение

Много по-лесно е да започнете активирането на описания инструмент с помощта на инструмента "Бягай".


Основният недостатък на този бърз и удобен метод е необходимостта да запомните командата за извикване на прозореца в ума си.

Метод 3: Поле за търсене в менюто "Старт".

Много подобен метод за извикване на инструмента, който изучаваме, се извършва с помощта на полето за търсене на менюто "Старт".


Метод 4: „Команден ред“

Извикване на инструмент чрез "Командна линия"доста неудобно, но такъв метод съществува и затова си заслужава да бъде специално споменат. Първо трябва да се обадим на прозореца "Командна линия".


Метод 5: Директно стартиране на файла eventvwr.exe

Можете да използвате такава „екзотична“ опция за решаване на проблема като директно стартиране на файл от "Диригент". Този метод обаче може да бъде полезен на практика, например, ако неизправностите са достигнали такъв мащаб, че други опции за стартиране на инструмента просто не са налични. Това се случва изключително рядко, но е напълно възможно.

На първо място, трябва да отидете до местоположението на файла eventvwr.exe. Той се намира в системната директория на този път:

C:\Windows\System32


Метод 6: Въвеждане на пътя на файла в адресната лента

С помощ "Диригент"можем да стартираме прозореца, който ни интересува по-бързо. В този случай дори не е нужно да търсите eventvwr.exe в директорията "Система 32". За да направите това, в полето за адрес "Диригент"просто трябва да посочите пътя до този файл.


Метод 7: Създайте пряк път

Ако не искате да помните различни команди или прескачания на секции "Контролен панел"Ако смятате, че е твърде неудобно, но в същото време често използвате списанието, тогава в този случай можете да създадете икона на "Работен плот"или на друго удобно за Вас място. След това стартирайте инструмента "Преглед на събития"ще се извърши възможно най-просто и без да е необходимо да помните нищо.


Проблеми с отварянето на списанието

Има случаи, когато възникват проблеми с отварянето на дневник чрез методите, описани по-горе. Най-често това се случва, защото услугата, отговорна за работата на този инструмент, е деактивирана. Когато се опитвате да стартирате инструмента "Преглед на събития"Появява се съобщение, което показва, че услугата Event Log е недостъпна. След това трябва да го активирате.

  1. На първо място, трябва да отидете на "Мениджър услуги". Това може да стане от секцията "Контролен панел"което се нарича "Администрация". Как да влезете в него беше описано подробно при разглеждането Метод 1. След като сте в този раздел, потърсете елемента "Услуги". Кликнете върху него.

    IN "Мениджър услуги"можете да използвате инструмента "Бягай". Обадете му се, като напишете Win+R. Въведете в областта за въвеждане:

    Кликнете "ДОБРЕ".

  2. Независимо дали сте направили прехода през "Контролен панел"или е използвал въвеждането на командата в полето с инструменти "Бягай", започва "Мениджър услуги". Потърсете елемент в списъка „Дневник на събития на Windows“. За да улесните търсенето си, можете да подредите всички обекти в списъка по азбучен ред, като щракнете върху името на полето "Име". След като желаният ред бъде намерен, погледнете съответната стойност в колоната "държава". Ако услугата е активирана, тогава трябва да има надпис "Върши работа". Ако е празен, това означава, че услугата е деактивирана. Вижте също стойността в колоната „Тип стартиране“. В нормално състояние там трябва да има надпис "Автоматично". Ако има стойност там "Хора с увреждания", това означава, че услугата не е активирана при стартиране на системата.

  3. За да коригирате това, отидете на свойствата на услугата, като щракнете двукратно върху името LMB.

  4. Отваря се прозорец. Кликнете върху областта „Тип стартиране“.

  5. Изберете от падащия списък "Автоматично".

  6. Кликнете върху надписите "Приложи"И "ДОБРЕ".

  7. Връщайки се към "Мениджър услуги", маркирайте „Дневник на събития на Windows“. В лявата част на черупката щракнете върху надписа "Бягай".

  8. Услугата започна. Сега в съответното поле на колона "държава"ще се покаже стойност "Върши работа", и в полето на колоната „Тип стартиране“ще се появи надписът "Автоматично". Сега списанието може да бъде отворено по всеки от описаните по-горе начини.

Има доста опции за активиране на регистъра на събитията в Windows 7. Разбира се, най-удобните и популярни методи са да преминете през "Лента с инструменти", активиране с помощта на инструмента "Бягай"или полета за търсене в менюто "Старт". За лесен достъп до описаната функция можете да създадете икона на "Работен плот". Понякога има проблеми със стартирането на прозореца "Преглед на събития". След това трябва да проверите дали съответната услуга е активирана.

Event Viewer в Windows показва история (дневник) на системни съобщения и събития, генерирани от програми - грешки, информационни съобщения и предупреждения. Между другото, измамниците понякога могат да използват преглед на събития, за да заблудят потребителите - дори на нормално работещ компютър винаги ще има съобщения за грешка в дневника.

Стартирайте Event Viewer

За да стартирате Windows Event Viewer, въведете тази фраза в търсенето или отидете на „Контролен панел“ - „Администрация“ - „Преглед на събития“

Всъщност, защо изобщо пиша за това, след като няма нищо интересно за обикновения потребител в Windows Event Viewer? Все пак, тази функция (или програма, помощна програма) на Windows може да бъде полезна, ако възникнат проблеми с компютъра - когато случайно се появи синият екран на смъртта на Windows или се случи случайно рестартиране - в програмата за преглед на събития можете да намерите причината за тези събития . Например грешка в системния регистър може да предостави информация за това кой хардуерен драйвер е причинил повредата за последващи действия за коригиране на ситуацията. Просто потърсете грешка, която е възникнала, докато компютърът ви се е рестартирал, замръзнал или показал син екран на смъртта - грешката ще бъде маркирана като критична.

Има и други приложения за Event Viewer. Например Windows записва времето, необходимо за пълно зареждане на операционната система. Или, ако компютърът ви хоства сървър, можете да активирате запис на събития при изключване и рестартиране - всеки път, когато някой изключи компютъра, ще трябва да въведе причина за това и по-късно можете да видите всички изключвания и рестартирания и въведената причина за събитието.

Освен това можете да използвате програмата за преглед на събития във връзка с програмата за планиране на задачи - щракнете с десния бутон върху всяко събитие и изберете „Свързване на задача към събитие“. Всеки път, когато се случи това събитие, Windows ще изпълни съответната задача.



Сподели с приятели:
Свързани публикации